ARTYKU Y I ROZPRAWY Jerzy añcucki Aspekty regulacyjne zarz¹dzania ryzykiem w sektorze ubezpieczeñ W artykule podjêto próbê opisania roli i miejsca zarz¹dzania ryzykiem w systemie zarz¹dzania zak³adem ubezpieczeñ. Zwrócono uwagê na skutki niew³aœciwego interpretowania terminów governance i management dla okreœlenia zakresu odpowiedzialnoœci i obowi¹zków osób odpowiedzialnych za funkcjonowanie systemu zarz¹dzania ryzykiem. Przyjmuj¹c za punkt wyjœcia do dalszych rozwa añ zawarte w dyrektywie Wyp³acalnoœæ II zapisy dotycz¹ce zarz¹dzania i zarz¹dzania ryzykiem starano siê w oparciu o okreœlone normy i standardy opisaæ zasady, wytyczne i procedury zarz¹dzania ryzykiem w zak³adach ubezpieczeñ. Tak szerokie naœwietlenie tej problematyki wynika³o z przekonania autora artyku³u, e zarz¹dzanie ryzykiem zwi¹zanym z dzia³alnoœci¹ ubezpieczeniow¹ nie jest to same z zarz¹dzaniem ryzykiem w zak³adzie ubezpieczeñ jako organizacji. S³owa kluczowe: zarz¹dzanie, funkcje zarz¹dzania, elementy systemu zarz¹dzania ryzykiem, dyrektywa Wyp³acalnoœæ II, norma ISO 31000, COSO, FERMA, IAIS. 1. Uwagi ogólne Kryzys finansowy zapocz¹tkowany w amerykañskim sektorze finansowym w 2008 r. dotkn¹³ równie rynki finansowe w innych czêœciach œwiata, w tym przede wszystkim rynek europejski. Analiza Ÿróde³ i dotychczasowego przebiegu tego kryzysu sk³ania do postawienia pytania o przyczyny nieskutecznego dzia³ania komitetów zarz¹dzania ryzykiem w radach i osób odpowiedzialnych za ten obszar w zarz¹dach, a tak e komórek funkcjonuj¹cych na szczeblu operacyjnym. Z lektury opracowañ poœwiêconych analizie Ÿróde³ powstania kryzysu w tym sektorze 1 wy³ania siê obraz rzeczywistych motywów dzia³añ i zaniechañ ze strony osób i organów odpowiedzialnych za prawid³owe funkcjonowanie tych instytucji i bezpieczeñstwo pieniêdzy powierzonych im przez klientów. Z informacji zawartych w publikacjach wynika, e w instytucjach finansowych funkcjonowa³a i nadal funkcjonuje kultura pogoni za zyskiem, w której najbardziej nagradzana jest maksymalizacja zwrotu na kapitale, i to mo liwie w jak najkrótszym czasie 2. W zwi¹zku z tym w instytucjach tych zarz¹dzanie ryzykiem zosta³o sprowadzone do funkcji s³u ebnych wobec celu g³ównego maksymalizacji zysku, a nale ne sobie miejsce odzyskiwa³o tylko w momentach realizacji negatywnych skutków okreœlonego ryzyka. Zjawiska te zdaj¹ siê œwiadczyæ o tym, e dzia³anie rynków finansowych zosta³o obci¹ one swoist¹ wad¹ genetyczn¹, 1 Zamiast wielu: A.R. Sorkin, Zbyt wielcy by upaœæ, Warszawa 2012; J.E. Stiglitz, Freefall. Jazda bez trzymanki, Warszawa 2010. 2 ( ) nieokie³znana chciwoœæ ( ) przemienia system, który powinien byæ oparty na zaufaniu, w system, którego fundamentem jest wyrachowanie ; J.C. Bogle, Doœæ. Prawdziwe miary bogactwa, biznesu i ycia, Warszawa 2009, s. 3. PRAWO ASEKURACYJNE 2/2013 (75) 3
która w d³u szym okresie stawia pod znakiem zapytania mo liwoœæ rzeczywistego uzdrowienia gospodarki œwiatowej. W dodatku na rynkach finansowych ugruntowuje siê przekonanie, e ich szczególna rola we wspó³czesnym œwiecie znajduje swoje potwierdzenie w znacz¹cej pozycji dochodów z kapita³u w porównaniu z dochodami z pracy w gospodarce realnej. Dlatego te wszelkie próby zmiany tego stanu rzeczy zas³uguj¹ na baczn¹ uwagê. Niew¹tpliwie do takich prób nale y zaliczyæ przedsiêwziêcia regulacyjne, maj¹ce umocniæ funkcje nadzorcze i kontrolne dotycz¹ce sektora finansowego, w tym sektora ubezpieczeñ. Na szczególn¹ uwagê zas³uguje dyrektywa Wyp³acalnoœæ II, przyjêta przez Parlament Europejski i Radê 25 listopada 2009 r. 3, której regulacje maj¹ byæ stosowane od 1 stycznia 2014 r. 4 Wdyrektywie tej, bêd¹cej podstawow¹ regulacj¹ dotycz¹c¹ prowadzenia dzia³alnoœci ubezpieczeniowej, stosunkowo du o miejsca poœwiêcono systemowi zarz¹dzania zak³adami ubezpieczeñ i reasekuracji oraz zarz¹dzaniu ryzykiem. Ze wzglêdu na znaczenie tej problematyki w realizacji podstawowego celu wspomnianej dyrektywy zapewnienia odpowiedniej ochrony ubezpieczaj¹cych i beneficjentów zagadnienia te wymagaj¹ szerszego omówienia. 2. Zarz¹dzanie w zak³adzie ubezpieczeñ W okresie kryzysu gospodarczego szczególnego znaczenia nabieraj¹ przedsiêwziêcia skierowane na ograniczenie jego skutków. Do dzia³añ tych nale y zaliczyæ zarz¹dzanie ryzykiem, stanowi¹ce newralgiczny element ca³ego systemu zarz¹dzania organizacj¹. Obecnie zarz¹dza siê nieomal wszystkimi przejawami aktywnoœci organizacji. Zarz¹dza siê m.in. jakoœci¹, œrodowiskiem, kadrami, finansami, bezpieczeñstwem i higien¹ pracy, informacj¹, wiedz¹, relacjami z klientami, zmian¹, ci¹g³oœci¹ dzia³ania i ryzykiem. W praktycznym wymiarze, faktycznie podejmowane przez organizacjê dzia- ³ania doœæ czêsto nie wyczerpuj¹ jednak podstawowych charakterystyk przypisanych terminowi zarz¹dzanie. W konsekwencji braki i u³omnoœci dzia³añ okreœlanych jako zarz¹dzanie negatywne oddzia³uj¹ na funkcjonowanie organizacji, w tym na charakter i zakres zagro eñ pojawiaj¹cych siê w trakcie jej dzia³alnoœci. Powy sza uwaga odnosi siê równie do organizacji œwiadcz¹cych us³ugi finansowe, w tym us³ugi ubezpieczeniowe. W ostatnich latach wprowadzono lub zamierza siê wprowadziæ szereg regulacji zawieraj¹cych postanowienia, które dotycz¹ m.in. zarz¹dzania, systemów zarz¹dzania i zarz¹dzania ryzykiem w tych organizacjach. Ich autorzy doœæ swobodnie i wybiórczo dobieraj¹ atrybuty przypisywane wspomnianym terminom, nie bacz¹c na konsekwencje, jakie 3 Dyrektywa Parlamentu Europejskiego i Rady 2009/138/WE z dnia 25 listopada 2009 r. w sprawie podejmowania i prowadzenia dzia³alnoœci ubezpieczeniowej i reasekuracyjnej (Wyp³acalnoœæ II), Dz. U. UE L 335. 4 Dyrektywa Parlamentu Europejskiego i Rady 2012/23/UE z dnia 12 wrzeœnia 2012 r. zmieniaj¹ca dyrektywê 2009/138/WE (Wyp³acalnoœæ II) w odniesieniu do jej transpozycji, daty rozpoczêcia jej stosowania oraz daty uchylenia niektórych dyrektyw, Dz. U. UE L 249. 4 PRAWO ASEKURACYJNE 2/2013 (75)
Aspekty regulacyjne zarz¹dzania ryzykiem w sektorze ubezpieczeñ mog¹ wynikn¹æ przy ich wykorzystaniu w praktyce i okreœlaniu odpowiedzialnoœci. W klasycznym ujêciu, zarz¹dzanie to zestaw dzia³añ (obejmuj¹cy planowanie i podejmowanie decyzji, organizowanie, przewodzenie, tj. kierowanie ludÿmi i kontrolowanie), skierowanych na zasoby organizacji (ludzkie, finansowe, rzeczowe i informacyjne) i wykonywanych z zamiarem osi¹gniêcia celów organizacji w sposób sprawny i skuteczny 5. Zarz¹dzanieobejmujenastêpuj¹ce cztery podstawowe funkcje: 1) planowanie i podejmowanie decyzji, czyli wytyczanie celów organizacji, okreœlanie sposobów ich osi¹gniêcia oraz dokonywanie wyboru trybu dzia- ³ania spoœród zestawu dostêpnych mo liwoœci; 2) organizowanie, czyli logiczne grupowanie dzia³añ i zasobów; 3) przewodzenie, czyli uruchamianie procesów wykorzystywanych do sk³aniania cz³onków organizacji do wzajemnej wspó³pracy w jej interesie; 4) kontrolowanie polegaj¹ce na obserwowaniu postêpów organizacji w realizacji jej celów. Na organizacjê nale y zatem patrzeæ jak na system, w którym mo na wyodrêbniæ cztery podstawowe elementy: nak³ady, procesy transformacji, wyniki i sprzê enie zwrotne 6. System sk³ada siê z podsystemów. Na przyk³ad, funkcje œwiadczenia us³ug i finansów s¹ nie tylko samodzielnymi systemami, lecz równie podsystemami w ca³ej organizacji. Z uwagi na ich wzajemne powi¹zania zmiana w jednym podsystemie mo e wp³yn¹æ na inne podsystemy. W rezultacie, choæ podsystemami mo na do pewnego stopnia zarz¹dzaæ autonomicznie, jednak zawsze nale y pamiêtaæ o ich wspó³zale noœci 7.Ujmuj¹c te zale noœci szerzej mo na powiedzieæ, e 8 : 1) optymalizowanie jednego z elementów organizacji mo e spowodowaæ pogorszenie funkcjonowania ca³ej organizacji; 2) zmiana w jednym podsystemie organizacji poci¹ga za sob¹ zmiany w innych podsystemach organizacji; 3) organizacja zachowuje siê jak system bez wzglêdu na to, czy jest zarz¹dzana jak system. Dodaæ przy tym nale y, e wspó³czesne zarz¹dzanie ulega swoistej demokratyzacji. Coraz wiêcej ludzi musi samodzielnie, czêsto bez konsultacji, dysponuj¹c ograniczonym czasem, podejmowaæ wa ne dla organizacji decyzje 9,co zapewne zwiêksza ryzyko zwi¹zane z ich podejmowaniem. Dopiero na tak zarysowanym tle nale y analizowaæ problemy zarz¹dzania w zak³adzie ubezpieczeñ. 5 R.W. Grifin, Podstawy zarz¹dzania organizacjami, Warszawa 2004, s. 6 i n.; Zdaniem A.K. KoŸmiñskiego istot¹ zarz¹dzania jest panowanie nad ró norodnoœci¹ i przekszta³cenie potencjalnego konfliktu we wspó³pracê ; A.K.KoŸmiñski,W.Piotrowski(red.),Zarz¹dzanie. Teoria i praktyka, Warszawa 2010, s. 57. 6 R.W.Grifin,op.cit.,s.55. 7 Ibidem. 8 K. Ob³ój, Strategia organizacji. W poszukiwaniu trwa³ej przewagi konkurencyjnej, Warszawa 2007, s. 370. 9 A.K.KoŸmiñski,W.Piotrowski(red.),op.cit.,s.79. PRAWO ASEKURACYJNE 2/2013 (75) 5
W podstawowej dla rynku ubezpieczeniowego regulacji unijnej Wyp³acalnoœæ II stwierdza siê (art. 41), e pañstwa cz³onkowskie nak³adaj¹ na wszystkie zak³ady ubezpieczeñ i reasekuracji wymóg wprowadzenia skutecznego systemu zarz¹dzania, który zapewnia prawid³owe i ostro ne zarz¹dzanie prowadzon¹ dzia³alnoœci¹. System ten obejmuje co najmniej odpowiedni¹, przejrzyst¹ strukturê organizacyjn¹, w której zakresy odpowiedzialnoœci s¹ jasno przypisane i odpowiednio podzielone, oraz skuteczny system zapewniaj¹cy przekazywanie informacji. Dalej dodaje siê, e system zarz¹dzania powinien byæ proporcjonalny do charakteru, skali i z³o onoœci dzia³alnoœci zak³adu ubezpieczeñ. W tym miejscu mo e powstaæ w¹tpliwoœæcodoadresataprzytoczonych zapisów, szczególnie w odniesieniu do zakresu odpowiedzialnoœci i jej podzia³u. W tekœcie dyrektywy w jêzyku angielskim Sekcja 2 opatrzona jest tytu³em system of governance, co zosta³o przet³umaczone na jêzyk polski jako system zarz¹dzania, i podobnie tytu³ art. 41 General governance requirements przet³umaczono jako Ogólne wymogi w zakresie zarz¹dzania. Nie jest zadaniem autora tego artyku³u ocenianie trafnoœci t³umaczenia dwóch terminów rz¹dzenie (ang. governance) i zarz¹dzanie (ang. management) 10. Jednak z uwagi na ró nice w treœci przypisywanych w praktyce zarz¹dzania do tych terminów i w konsekwencji wp³ywie tych ró nic równie na charakter i zakres zarz¹dzania ryzykiem nale ytymterminompoœwiêciænieco wiêcej uwagi. W zarz¹dzaniu termin governance dotyczy struktur, funkcji, procesów i odnosi siê najczêœciej do dzia³añ podejmowanych przez w³aœcicieli lub ich reprezentantów w ramach rady nadzorczej. Organ ten mianuje personel zarz¹dzaj¹cy oraz przyznaje zarz¹dowi okreœlony obszar kompetencji. Rz¹dzenie to, mówi¹c inaczej, zbiór zasad i procedur maj¹cych zapewniæ, e dzia³ania zmierzaj¹ w dobrym kierunku. Zarz¹dzanie natomiast dotyczy tego, aby te dzia³ania realizowane by³y we w³aœciwy sposób. W zwi¹zku z tym odmiennie rozk³adaj¹ siê obowi¹zki pomiêdzy rz¹dz¹cymi i zarz¹dzaj¹cymi. Do obowi¹zków tych pierwszych nale y powo³ywanie cz³onków zarz¹du, ocenianie ich dzia³alnoœci, autoryzowanie planów dzia³ania i zobowi¹zañ oraz dokonywanie oceny dzia³alnoœci organizacji. Zarz¹d natomiast jest zobowi¹zany do realizacji strategii przyjêtej przez radê nadzorcz¹ i jest odpowiedzialny za bie ¹c¹ dzia³alnoœæ organizacji 11. Rz¹dzenie dotyczy zatem robienia dobrych rzeczy, a zarz¹dzanie robienia tych rzeczy dobrze 12. Do ka dego z tych organów mo na przypisaæ odpowiednie funkcje. Organ rz¹dz¹cy zwykle realizuje szeœæ podstawowych funkcji 13 : 1) strategiczne kierowanie; 2) sprawowanie nadzoru; 3) kreowanie polityki w³¹czenia interesariuszy do planowanych dzia³añ; 10 Webster s Universal Dictionary & Thesaurus, Geddes & Grosset 2003, s. 220. 11 Difference between management and governance, www.differencebetween.net. 12 Governance and management, www.siteresources.org, s. 71 i n. 13 Governance and management. Principles and norms, www.siteresources.worldbank.org, s. 72 i 73. 6 PRAWO ASEKURACYJNE 2/2013 (75)
Aspekty regulacyjne zarz¹dzania ryzykiem w sektorze ubezpieczeñ 4) ustanowienie polityki w zakresie zarz¹dzania ryzykiem i monitorowanie jej realizacji; 5) monitorowanie i zarz¹dzanie potencjalnym konfliktem interesów cz³onków organu rz¹dz¹cego oraz cz³onków zespo³u zarz¹dzaj¹cego; 6) audytowanie i ocena. Natomiast do podstawowych funkcji zarz¹dzania zalicza siê: 1) prowadzenie dzia³alnoœci operacyjnej; 2) dostosowanie dzia³alnoœci do obowi¹zuj¹cego prawa; 3) analizê dzia³alnoœci i sprawozdawczoœæ; 4) podnoszenie efektywnoœci realizacji funkcji administracyjnej; 5) komunikacjê z interesariuszami; 6) zarz¹dzanie wiedz¹; 7) ocenê dzia³alnoœci. W systemach prawnych wielu pañstw znajduj¹ siê regulacje dotycz¹ce funkcjonowania zarówno jednoszczeblowych, jak i dwuszczeblowych organów zarz¹dczych, do których przypisane s¹ ró ne atrybuty w³adztwa i odpowiedzialnoœci. W systemach dwuszczeblowych wystêpuj¹ dwa organy zarz¹dcze, tj. organ nadzorczy, sk³adaj¹cy siê z zewnêtrznych, niezale nych cz³onków i organ wykonawczy, czyli zarz¹d 14. Rozdzielenie funkcji na dwa organy skutkuje zró - nicowanymi obowi¹zkami i odpowiedzialnoœci¹ w obszarze zarz¹dzania ryzykiem. Dopiero maj¹c na uwadze opisane wy ej okolicznoœci mo na w³aœciwie odczytaæ zapisy dyrektywy Wyp³acalnoœæ II w zakresie zarz¹dzania ryzykiem. 3. Zarz¹dzanie ryzykiem w dyrektywie Wyp³acalnoœæ II i standardach miêdzynarodowych Ryzyka, z którymi organizacja ma, lub mo e mieæ, do czynienia mo na podzieliæ na trzy podstawowe kategorie 15 : ryzyka mo liwe do unikniêcia, ryzyka strategiczne, ryzyka zewnêtrzne. Do pierwszej kategorii zalicza siê ryzyka wewnêtrzne, któredaj¹siêkontrolowaæ i które mo na wyeliminowaæ lub których mo na unikn¹æ (np. bezprawne, nieetyczne lub nieodpowiednie dzia³anie pracowników). Ryzyka te s¹ najlepiej zarz¹dzane przez dzia³ania prewencyjne. Wprzypadkuryzyk strategicznych mamy do czynienia z sytuacj¹, kiedy organizacje akceptuj¹ ryzyko zwi¹zane z osi¹ganiem ponadprzeciêtnych zysków p³yn¹cych z przyjêtej strategii. Ryzyka te s¹ ca³kowicie odmienne od ryzyk mo liwych do unikniêcia, poniewa z natury swojej nios¹ za sob¹ potencjalne niepo ¹dane skutki. W tym przypadku poszukujemy takiego systemu zarz¹dzania ryzykiem, który umo liwi redukcjê prawdopodobieñstwa zrealizowania siê 14 Insurance core principles, standards, guidance and assessment methodology IAIS, 1 October 2011, s.45. 15 R.S.Kaplan,A.Mikes, Managing Risks: a New Framework, Harvard Business Review, June 2012, s. 4 5. PRAWO ASEKURACYJNE 2/2013 (75) 7
niepo ¹danego scenariusza. Taki system nie powstrzyma organizacji od podejmowania dzia³añ obarczonych ryzykiem. Przeciwnie, mo e umo liwiæ podejmowanie przez organizacjê wysokiego ryzyka, zwi¹zanego z wysoko zyskownymi przedsiêwziêciami. Zkoleiryzyka zewnêtrzne maj¹ swoje Ÿród³o w wydarzeniach zewnêtrznych bêd¹cych poza wp³ywem i kontrol¹ organizacji. S¹ to najczêœciej klêski ywio³owe, wydarzenia polityczne i wiêkszoœæ niekorzystnych zmian zachodz¹cych w gospodarce, maj¹cych charakter makroekonomiczny. Nie mog¹c im zapobiegaæ organizacje musz¹ siê skoncentrowaæ na ich identyfikacji i ³agodzeniu ich wp³ywu. Ryzyka, które s¹ zdefiniowane w dyrektywie Wyp³acalnoœæ II ubezpieczeniowe, rynkowe, kredytowe, operacyjne, p³ynnoœci i koncentracji z powodzeniem mo na umieœciæ w trzech wymienionych wy ej kategoriach 16 tak, jak i ryzyka handlowe, polityczne i nierynkowe, zdefiniowane w innej krajowej regulacji dotycz¹cej ubezpieczeñ 17. W literaturze przedmiotu zarz¹dzanie ryzykiem jest definiowane jako szeroko rozumiane dzia³ania zarz¹dcze, których zadaniem jest identyfikacja iocenaryzykainiepewnoœciorazwalkazichprzyczynamiiwp³ywemnaorganizacjê 18. Z kolei w standardach znormalizowanych zarz¹dzanie ryzykiem jest definiowane jako skoordynowane dzia³ania dotycz¹ce kierowania i nadzorowania organizacj¹ w odniesieniu do ryzyka 19. W odniesieniu do dzia³alnoœci zak³adów ubezpieczeñ art. 44 dyrektywy Wyp³acalnoœæ II zawiera zapis, e efektywny system zarz¹dzania ryzykiem obejmuje strategie, procesy i procedury sprawozdawcze konieczne do okreœlenia pomiaru i monitorowania ryzyk, na które s¹ lub mog¹ byæ nara one, oraz wspó³zale noœci miêdzy nimi, zarz¹dzanie tymi rodzajami ryzyka i sprawozdawczoœci w ich zakresie, w sposób ci¹g³y, zarówno na poziomie indywidualnym, jak i zagregowanym. Wtymsamymartykuledodajesiê, esystem zarz¹dzania ryzykiem jest skuteczny i dobrze zintegrowany ze struktur¹ organizacyjn¹ i procesami decyzyjnymi z odpowiednim uwzglêdnieniem osób, które faktycznie zarz¹dzaj¹ zak³adem lub pe³ni¹ inne kluczowe funkcje. Na podkreœlenie zas³uguje przepis art. 44 ust. 2 dyrektywy, zgodnie z którym system zarz¹dzania ryzykiem obejmuje ryzyka, które nale y uwzglêdniæ w obliczeniach kapita³owego wymogu wyp³acalnoœci, oraz ryzyka, które w tych obliczeniach uwzglêdnione s¹ jedynie czêœciowo lub nie s¹ w ogóle w nich uwzglêdnione. Zgodnie z dyrektyw¹, w zak³adzie ubezpieczeñ system zarz¹dzania ryzykiem obejmuje co najmniej nastêpuj¹ce obszary: ocenê ryzyka, które jest przyjmowane do ubezpieczenia i tworzenie rezerw; zarz¹dzanie aktywami i pasywami; 16 Art. 13 pkt. 30 35 dyrektywy Wyp³acalnoœæ II. 17 2 4 rozporz¹dzenia Ministra Finansów z dnia 7 maja 2010 r. w sprawie okreœlenia definicji ryzyka handlowego, politycznego i nierynkowego (Dz. U. Nr 81, poz. 534). 18 C.A.WilliamsJr.,M.L.Smith,P.C.Young.Zarz¹dzanie ryzykiem a ubezpieczenia, Warszawa 2002, s. 57. 19 Norma PKN-ISO Guide 73. Zarz¹dzanie ryzykiem. Terminologia, PKN, Warszawa 2012. 8 PRAWO ASEKURACYJNE 2/2013 (75)
Aspekty regulacyjne zarz¹dzania ryzykiem w sektorze ubezpieczeñ lokaty, w tym w szczególnoœci w instrumenty pochodne i podobne instrumenty finansowe; zarz¹dzanie p³ynnoœci¹ i ryzykiem koncentracji; zarz¹dzanie ryzykiem operacyjnym; reasekuracjê i inne techniki ograniczania ryzyka. Zasady dotycz¹ce zarz¹dzania ryzykiem musz¹ byæ sporz¹dzone na piœmie i obejmuj¹ strategie zwi¹zane z ryzykami wymienionymi powy ej. Zapisy dyrektywy Wyp³acalnoœæ II, dotycz¹ce zarz¹dzania ryzykiem, koncentruj¹ siê przede wszystkim na ryzykach zwi¹zanych z dzia³alnoœci¹ ubezpieczeniow¹; nie dostrzega siê w dyrektywie opisanego wczeœniej w niniejszym artykule sprzê enia zwrotnego, zachodz¹cego miêdzy wszystkimi procesami realizowanymi w danej organizacji. Zarz¹dzanie ryzykiem wynikaj¹cym z dzia³alnoœci ubezpieczeniowej nie jest bowiem to same z zarz¹dzaniem ryzykiem w zak³adzie ubezpieczeñ jako organizacji. St¹d te wydaje siê konieczne dokonanie krótkiego przegl¹du standardów i norm, opracowanych przez wyspecjalizowane organizacje zajmuj¹ce siê t¹ problematyk¹. A. Norma ISO 31000. Zarz¹dzanie ryzykiem. Zasady i wytyczne 20 W zakresie zarz¹dzania ryzykiem najbardziej uniwersalny wymiar maj¹ zapisy normy miêdzynarodowej ISO 31000, w której opisano zasady i ogólne wytyczne dotycz¹ce zarz¹dzania ryzykiem w organizacjach dzia³aj¹cych we wszystkich sektorach. Niew¹tpliwym atutem tej normy jest konsekwentne wykorzystanie terminologii, dotycz¹cej zarz¹dzania ryzykiem, zawartej w Przewodniku ISO Guide 73:2009 21, w którym starano siê zdefiniowaæ, wed³ug okreœlonego porz¹dku, wszystkie podstawowe terminy z obszaru zarz¹dzania ryzykiem. W normie tej zwraca siê uwagê na koniecznoœæ uwzglêdniania zewnêtrznych i wewnêtrznych parametrów, które powinny byæ brane pod uwagê w procesie zarz¹dzania ryzykiem. Kontekst zewnêtrzny mo e uwzglêdniaæ: œrodowisko kulturowe, spo³eczne, polityczne, prawne, regulacyjne, finansowe, technologiczne, ekonomiczne i naturalne; kluczowe czynniki i trendy maj¹ce wp³yw na cele organizacji i relacje z zewnêtrznymi interesariuszami, ich postrzeganie i wartoœci. Zkoleikontekst wewnêtrzny mo e uwzglêdniaæ: ³ad organizacyjny, strukturê organizacyjn¹, role i odpowiedzialnoœæ; polityki, cele i strategie ustanowione w celu ich osi¹gniêcia; potencja³ rozumiany jako zasoby i wiedza(np.kapita³,czas,ludzie,procesy, systemy i technologie); systemy informacyjne, przep³yw informacji i procesy podejmowania decyzji (formalne i nieformalne); relacje z wewnêtrznymi interesariuszami, ich postrzeganie i wartoœci; kulturê organizacyjn¹; 20 PN-ISO 31000, Zarz¹dzanie ryzykiem. Zasady i wytyczne, PKN, Warszawa 2012. 21 PKN-ISO Guide 73, Zarz¹dzanie ryzykiem. Terminologia PKN, Warszawa 2012. PRAWO ASEKURACYJNE 2/2013 (75) 9
normy, wytyczne i modele przyjête przez organizacjê oraz formê i zakres relacji zawartych w umowach. Wed³ug omawianej normy, warunkiem skutecznoœci zarz¹dzania ryzykiem jest stosowanie przez organizacjê, i to na ka dym poziomie, okreœlonych zasad. W myœl tych zasad, zarz¹dzanie ryzykiem: tworzy i chroni wartoœci; jest integraln¹ czêœci¹ wszystkich procesów organizacji; jest elementem procesu podejmowania decyzji; wprost odnosi siê do niepewnoœci; jest systematyczne, zorganizowane i terminowe; opiera siê na najlepszych dostêpnych informacjach; jest dopasowane do wewnêtrznego i zewnêtrznego kontekstu organizacji oraz profilu ryzyka; bierze pod uwagê czynniki ludzkie i kulturowe; jest przejrzyste i ca³oœciowe; jest dynamiczne, wielokrotne i reaguj¹ce na zmiany; u³atwia ci¹g³e doskonalenie organizacji. W normie podkreœla siê, e zarz¹dzanie ryzykiem nale y uwzglêdniaæ we wszystkich praktykach i procesach organizacji, a wiêc powinno byæ integraln¹ czêœci¹ procesów, a nie funkcjonowaæ oddzielnie. Etapy procesu zarz¹dzania ryzykiem przedstawia rysunek. Proces zarz¹dzania ryzykiem Ustalenie kontekstu Ocena ryzyka Komunikacja i konsultacje z zewnêtrznymi i wewnêtrznymi interesariuszami Identyfikacja ryzyka Analiza ryzyka Ewaluacja ryzyka Monitorowanie i przegl¹d Postêpowanie z ryzykiem ród³o: PN-ISO 31000: 2012, s. 41. Wszystkie przedstawione na rysunku etapy s¹ szczegó³owo opisane w normie. Zaleca siê w niej równie, aby proces zarz¹dzania by³ (pkt 5.1): integraln¹ czêœci¹ zarz¹dzania, dopasowany do biznesowych procesów organizacji oraz za- 10 PRAWO ASEKURACYJNE 2/2013 (75)
Aspekty regulacyjne zarz¹dzania ryzykiem w sektorze ubezpieczeñ korzeniony w kulturze i praktykach. W procesie zarz¹dzania ryzykiem na ka - dymetapiepowinnybyæwykorzystywanestosownetechniki,dotycz¹ceoceny ryzyka, opisane w normie IEC/ISO 31010 22. B. Zintegrowana struktura ramowa dla zarz¹dzania ryzykiem korporacyjnym (COSO) W 2004 r. Committee of Sponsoring Organizations of the Treadway Commission (COSO) 23 opublikowa³ dokument, którego celem by³o dostarczenie informacji dotycz¹cych zasad, metod i narzêdzi odnosz¹cych siê do procesu zarz¹dzania ryzykiem. COSO zawiera opis oœmiu powi¹zanych ze sob¹ elementów sk³adaj¹cych siê na ERM (Enterprise Risk Management). Do elementów tych zaliczono: œrodowisko wewnêtrzne; ustanowienie celów; identyfikacjê zdarzeñ, cenê ryzyka; reakcjê na ryzyko; dzia³ania kontrolne; informacjê, komunikacjê i monitorowanie. Przy omawianiu tych elementów podkreœlono, e ERM nie jest œciœle uszeregowanym procesem, w którym jeden element wp³ywa jedynie na nastêpny. Jest to bowiem proces wielokierunkowy i wielokrotny, w którym prawie ka dy element mo e wp³ywaæ, i z regu³y wp³ywa, na kolejny. C. Standard zarz¹dzania ryzykiem. FERMA (Federation of European Risk Management Associations) Standard zosta³ opracowany przez zespó³, w sk³ad którego weszli przedstawiciele najwiêkszych brytyjskich organizacji bran owych 24.Zdaniemautorów tego dokumentu, celem standardu by³o zapewnienie jednolitego rozumienia nastêpuj¹cych zagadnieñ: znaczenia stosowanych terminów; procesów s³u ¹cych zarz¹dzaniu ryzykiem; struktur organizacyjnych w zarz¹dzaniu ryzykiem; celów zarz¹dzania ryzykiem. Jak stwierdza siê w dokumencie, celem autorów standardu nie by³o opracowanie normy o charakterze nakazowym, w przypadku której spe³nienie zawartych w niej wymagañ stanowi³oby podstawê do wydania certyfikatów zgodnoœci. Standard ten jest opisem dobrych praktyk o charakterze wzorcowym dla poszczególnych organizacji 25. 22 IEC/ISO 31010, Risk management Risk assessment techniques, ed. 1.0, 2009.11. 23 Jest to amerykañska organizacja zajmuj¹ca siê tworzeniem i propagowaniem dobrych praktyk oraz edukacj¹ w zakresie transparentnoœci funkcjonowania organizacji. 24 Instytut Zarz¹dzania Ryzykiem (IRM), Stowarzyszenie Mened erów Ubezpieczeniowych i Zarz¹dzaj¹cych ryzykiem (AIRMC) oraz Krajowe Forum na rzecz Zarz¹dzania Ryzykiem w Sektorze Publicznym (ALARM). 25 www.ferma.eu PRAWO ASEKURACYJNE 2/2013 (75) 11
Autorzy tego standardu wyszli z za³o enia, e zarz¹dzanie ryzykiem stanowi element zarz¹dzania strategicznego ka dej organizacji. Przedmiotem w³aœciwego zarz¹dzania ryzykiem jest jego identyfikacja oraz w³aœciwe z nim postêpowanie, a celem zapewnienie maksymalnych trwa³ych korzyœci we wszystkich dziedzinach dzia³alnoœci. Zarz¹dzanie ryzykiem powinno byæ procesem opartym na ci¹g³ym doskonaleniu i stanowiæ integralny element kultury organizacyjnej. Proces ten powinien prowadziæ do prze³o enia za³o eñ strategicznych na konkretne cele taktyczne i operacyjne oraz do precyzyjnego okreœlenia odpowiedzialnoœci wszystkich tych, którzy w ramach swoich obowi¹zków zajmuj¹ siê zarz¹dzaniem ryzykiem. W omawianym standardzie okreœla siê czynniki wewnêtrzne i zewnêtrzne, mog¹ce wp³ywaæ na charakter i zakres zagro eñ dla organizacji i jej dzia³alnoœci. Nastêpnie opisany jest ca³y proces zarz¹dzania ryzykiem, pocz¹wszy od jego oceny, obejmuj¹cy analizê i ewaluacjê, a skoñczywszy na sprawozdawczoœci i komunikacji w zarz¹dzaniu ryzykiem. Proces ten obejmuje równie obowi¹zki poszczególnych organów i osób w zarz¹dzaniu ryzykiem (zarz¹d, jednostki organizacyjne, komórki ds. zarz¹dzania ryzykiem, audytorów), a tak- e monitorowanie i analizowanie procesu zarz¹dzania ryzykiem. Standard zawiera równie dodatek, w którym krótko opisano techniki identyfikacji ryzyka oraz metody i techniki analizy ryzyka. D. Standard IAIS (International Association of Insurance Supervisors) Kolejnym standardem, tym razem wyraÿnie adresowanym do sektora ubezpieczeñ, jest standard zawarty w dokumencie opublikowanym przez Miêdzynarodowe Stowarzyszenie Nadzorów Ubezpieczeniowych Podstawowe zasady ubezpieczeñ, standardy, wytyczne i metodologia oceny 26. W czêœci poœwiêconej omówieniu zasady dotycz¹cej zarz¹dzania ryzykiem i kontroli wewnêtrznej (ICP8) 27, zawarto szereg wytycznych i zasad dotycz¹cych zarz¹dzania ryzykiem, traktowanych jako nieod³¹czna czêœæ zarz¹dzania korporacyjnego. Systemy te i funkcje powinny byæ odpowiednie w stosunku do natury,skaliiz³o onoœciprowadzonejdzia³alnoœciiryzykorazpowinnyelastycznie reagowaæ na wszelkie zmiany wewnêtrzne i zewnêtrzne. Systemy te z regu³y obejmuj¹: strategie, polityki, procesy i kontrolê. System zarz¹dzania ryzykiem jest planowany i realizowany w celu identyfikacji, oceny, monitorowania, zarz¹dzania i raportowania o wszystkich daj¹cych siê przewidzieæ istotnych ryzykach, i to w odpowiednim czasie. W realizacji tych dzia³añ bierze siê pod uwagê prawdopodobieñstwo, potencjalny wp³yw i okres trwania ryzyk. W zale noœci od rodzaju, skali i z³o onoœci dzia³alnoœci prowadzonej przez zak³ad ubezpieczeñ, skuteczny system zarz¹dzania ryzykiem zwykle zawiera nastêpuj¹ce elementy: 26 Insurance core principles, standards, guidance and assessment methodology IAIS. 10 October 2011. 27 ICP8 Risk management and internal controls, s. 67 i n. 12 PRAWO ASEKURACYJNE 2/2013 (75)
Aspekty regulacyjne zarz¹dzania ryzykiem w sektorze ubezpieczeñ jasno zdefiniowan¹ i dobrze udokumentowan¹ strategiê zarz¹dzania ryzykiem, która musi uwzglêdniaæ ogóln¹ strategiê organizacji; odpowiednie cele, kluczowe zasady i w³aœciwe okreœlenie odpowiedzialnoœci osób prowadz¹cych dzia³alnoœæ obarczon¹ ryzykiem dotycz¹c¹ ca³ej dzia³alnoœci, jak i dzia³alnoœci realizowanej w poszczególnych komórkach organizacyjnych, w³¹czaj¹c w to równie oddzia³y zak³adu ubezpieczeñ; wyraÿnie zakreœlone granice dopuszczalnego ryzyka zaaprobowane przez kierownictwo po konsultacjach z wy sz¹ kadr¹ kierownicz¹; zatwierdzony przez kierownictwo i zdefiniowany na piœmie proces spe³nienia wymagañ dla ka dego odstêpstwa od przyjêtej strategii zarz¹dzania ryzykiem lub okreœlonego dopuszczalnego ryzyka i dla ka dej wa niejszej kwestii interpretacyjnej, która mo e siê pojawiæ; odpowiednie, sformu³owane na piœmie, polityki, które uwzglêdniaj¹ definicjê i rodzaje mo liwych oraz znacz¹cych ryzyk (wed³ug rodzajów), na które zak³ad ubezpieczeñ jest nara ony oraz poziom akceptowalnego poziomu ryzyka dla ka dego jego rodzaju (tj. rynkowego, kredytowego, p³ynnoœci, operacyjnego i dotycz¹cego reputacji), w tym równie pojawiaj¹cego siê wewn¹trz organizacji (przy kreacji cen, transferach i transakcjach). Polityki te okreœlaj¹ standardy ryzyka, szczególnie obowi¹zki zatrudnionych i prowadz¹cych dzia³alnoœæ obarczon¹ ryzykiem; w³aœciwe procesy i narzêdzia niezbêdne do okreœlenia, oceny, monitorowania, zarz¹dzania i raportowania o ryzyku; regularny przegl¹d systemu zarz¹dzania ryzykiem; funkcjê skutecznego zarz¹dzania ryzykiem. 4. Podsumowanie Treœci zawarte w niniejszym artykule pozwalaj¹ na sformu³owanie kilku wniosków o charakterze ogólnym. Zarz¹dzanie ryzykiem w zak³adzie ubezpieczeñ, pomimo specyficznych cech przypisywanych dzia³alnoœci realizowanej przez tê organizacjê, je eli ma byæ skuteczne musi uwzglêdniaæ ogólne prawid³owoœci zwi¹zane z zarz¹dzaniem ka d¹ organizacj¹. Dotyczy to przede wszystkim podejœcia procesowego i systemowego do zarz¹dzania. To pierwsze powoduje, e postrzegaj¹c procesy zachodz¹ce w zak³adzie ubezpieczeñ jako zbiór dzia³añ wzajemnie powi¹zanych i wzajemnie oddzia³uj¹cych mo na osi¹gn¹æ wiêksz¹ skutecznoœæ systemu zarz¹dzania ryzykiem. Drugie podejœcie pozwala na trafn¹ identyfikacjê zagro eñ, wynikaj¹cych ze sprzê enia zwrotnego wystêpuj¹cego miêdzy procesami zachodz¹cymi na wszystkich obszarach aktywnoœci zak³adu ubezpieczeñ. Pozwala równie na w³aœciwe umiejscowienie zarz¹dzania ryzykiem w ogólnym systemie zarz¹dzania zak³adem ubezpieczeñ. W zak³adzie ubezpieczeñ zasady i procedury dotycz¹ce zarz¹dzania ryzykiem mog¹ byæ u yteczne tak d³ugo, jak d³ugo nie koliduj¹ z systemem traktuj¹cym priorytetowo zysk jako parametr decyduj¹cy o krótkookresowej ocenie pracy zarz¹du i ca³ej kadry kierowniczej zak³adu ubezpieczeñ. Wszelkie sformalizowane zapisy, normy, zasady i wytyczne dotycz¹ce zarz¹dzania PRAWO ASEKURACYJNE 2/2013 (75) 13
ryzykiem mog¹ byæ bardzo przydatne pod warunkiem, e osoby odpowiedzialne za realizowanie strategii zak³adu ubezpieczeñ bêd¹ pamiêta³y, e w ka - dym przypadku system zarz¹dzania ryzykiem musi byæ szyty na miarê z uwagi na ca³y szereg uwarunkowañ wewnêtrznych (kulturowych, organizacyjnych, finansowych, technicznych i kadrowych), specyficznych wy³¹cznie dla danego zak³adu. Regulatory Aspects of Risk Management in Insurance Sector Thepresentarticleisanattempttodescribetheroleandplaceofriskmanagementintheinsurance company management system. The emphasis has been placed upon the effects of the misinterpretation of the terms governance and management for the determination of the responsibilitiesanddutiesofthepersonsresponsiblefortheoperation of the risk management system. Taking the provisions related to the management and risk management included in the Solvency II Directive as a starting point for further considerations, the principles, guidelines and procedures for risk management in insurance companies have been described on the basis of the specified norms and standards. Such a broad presentation of these issues results from the author s belief that the management of the risks arising from the business of insurance is not the same as the risk management in an insurance undertaking as an organisation. Keywords: management, management functions, elements of the system of risk management, Solvency II Directive, ISO 31000 standard, COSO, FARM, IAIS. 14 PRAWO ASEKURACYJNE 2/2013 (75)